Péntektől alkalmazandó az Európai Unió általános adatvédelmi rendelete

Budapest – Péntektől alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), ezzel egységessé válik az adatvédelmi szabályozás az Európai Unió egész területén.

Az Európai Unió még 2016-ban fogadta el az általános adatvédelmi rendeletet, de a szabályozás csak 2018. május 25-től alkalmazandó. A rendelet felülírja a nemzeti jogszabályokat és közvetlenül alkalmazandó, ezért a helyi szabályokat az új előírásoknak megfelelően módosítani kellett.

A szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.

Az új uniós szabályozás jelentősen kibővíti a személyes adatok körét, és minden olyan azonosított vagy beazonosítható emberre vonatkozó adatot ilyennek tekint, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Azaz személyes adat többek között a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail-cím, a vállalati és magántelefonszám, a levelezési cím, de akár egy IP-cím is.

Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat a rendszeréből. Az állampolgárokat megilleti az adatok hordozhatóságának joga is, azaz jogukban áll adataikról másolatot kérni egy adott szolgáltatótól és azt egy másik szolgáltatónak továbbítani.

A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról és amennyiben egy szervezet hanyagul kezeli az ügyfelek adatait, neki kell bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.

Azoknak az intézményeknek, amelyek nagy tömegben, automatizált módon kezelnek személyes adatokat – például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltatók -, és azoknak, amelyek különlegesen érzékeny személyes adatokat – politikai nézet, szakszervezeti tagság, szexuális irányultság – kezelnek, adatvédelmi felelőst kell kinevezniük. Ő személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

A rendelet egyetlen páneurópai adatvédelmi jogszabályt teremt, így a vállalkozásoknak a 28 tagállam nemzeti jogszabályai helyett csak egyet kell szemmel tartaniuk. Az új szabály tisztességes versenyt teremt, mivel az unión kívüli vállalkozásoknak ugyanazokat a szabályokat kell alkalmaznia, mint az uniós vállalkozásoknak, amikor árukat vagy szolgáltatásokat kínálnak az EU-ban.

A GDPR átfogó bejelentési kötelezettséget vezet be, így minden incidenst – például hackertámadást vagy egy személyes adatokat tároló laptop elvesztését – 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti.

– MTI –